En Visualit queremos poner fácil a nuestros clientes la adaptación de su web y sus acciones y estrategia en Marketing Online al nuevo Reglamento General de Protección de Datos (RGPD).
¿Que es el RGPD?
Con el acrónimo RGPD, tan nombrado estos días, nos referimos al nuevo Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el próximo 25 de mayo de 2018.
Este nuevo reglamento entró en vigor hace casi 2 años, el 25 de mayo de 2016, si bien se concedió un periodo de adaptación de 2 años para que Instituciones, empresas y organizaciones que tratan datos, se preparasen y adaptasen. Y ese periodo de dos años termina… este 25 de Mayo.
¿Afecta el RGPD a mi página Web?
El nuevo Reglamento General de Protección de Datos afecta a todas las empresas y organizaciones que almacenan o tratan datos personales de ciudadanos de la UE. Por dato personal se entiende cualquier información que identifique a una persona, y que podría ser un nombre, un teléfono, una dirección de email, o simplemente la dirección IP desde la que un usuario se conectó a tu web, y todo esto sin olvidarnos de la información recabada con las cookies.
- Son datos personales los identificadores online como direcciones IP, nombre de usuario, correo electrónico, la mayoría de las cookies en las páginas web, los datos de localización, etc.
¿Pero me afecta o no?
Si tienes una página web, el nuevo Reglamento General de Protección de datos te afecta. Vamos a enumerarte las razones más comunes por las que el RGPD afecta a cualquier empresa que tenga una página Web:
- Tu página web está alojada en un servidor, dónde se almacenan temporalmente datos personales de tus usuarios, como las IPs de todos los usuarios que se conectan a tu web.
- La mayor parte de las webs tienen formularios de contacto que captan datos personales.
- La mayor parte de los sistemas de analítica, y tu web seguro que tiene uno (como Google Analytics), recogen IPs de tus usuarios.
- Es muy posible que en tu web se usen cookies de terceros, algunas de las cuáles pueden capturar datos personales, y que según su funcionalidad, pueden además requerir de aceptación explícita para su uso según el nuevo Reglamento.
Entonces, ¿qué tengo que hacer para adecuar mi web al nuevo RGPD?
Básicamente, en lo que concierne a tu página web, y siempre teniendo en cuenta la política de protección de datos que adopte tu empresa, es necesario revisar:
El Aviso Legal y la Política de Privacidad:
Los textos legales de tu web deberán revisarse siguiendo el principio de transparencia, es decir, deberán estar redactados de una manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
El nuevo reglamento, afecta directamente a la Política de Privacidad, donde deberá figurar la información sobre los datos que se están recogiendo. Estos es: para qué se utilizan, el tiempo que los vamos a mantener, cómo se mantienen protegidos, así como la existencia de procesos automatizados si los hubiera (por ejemplo, si utilizas alguna herramienta de segmentación para la elaboración de perfiles de clientes o usuarios). Además deberán de desarrollarse, como práctica recomendable, los siguientes epígrafes:
- Epígrafe “Responsable”: identificando al responsable de la gestión de datos y, en el caso de que proceda, al delegado de protección de datos.
- Epígrafe “Finalidad”: indicando la finalidad de la utilización de los datos.
- Epígrafe “Legitimación”: o base jurídica del tratamiento de los datos.
- Epígrafe “Destinatarios”: dónde de indica la identidad o categorías de todos los destinatarios de los datos personales. Aquí es necesario informar de aquellos servicios de terceros que usas en tu página web y que almacenan datos, como por ejemplo el hosting, una plataforma de email marketing como mailchimp, o un sistema de Analítica como Google Analytics. Es conveniente informar también de la existencia de Encargados de Tratamiento.
- Epígrafe “Derechos”: dónde hay que indicar el derecho del usuario a solicitar el acceso e información sobre sus datos personales, solicitar su rectificación o supresión, la limitación en el tratamiento o solicitar la portabilidad de sus datos.
- Epígrafe “Procedencia”: que habrá de incluirse en el supuesto de que los datos personales no se hayan obtenido del interesado, por proceder de alguna cesión legítima, o de fuentes de acceso público.
· Más información: https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf
La Política de Cookies:
Aunque no todas las cookies son utilizadas de tal manera que podrían identificar a usuarios, la mayoría sí lo son, y por ello se consideran datos personales, y están sujetas al RGPD.
Tenemos la obligación de señalar que tipo de cookies se utilizan y su finalidad, y deberemos de pedir consentimiento para su uso, consentimiento que ya no puede ser tácito, o por omisión, sino que debe de ser inequívoco. Debemos de tener especial cuidado con algunas cookies que recopilan datos de audiencias y remarketing, para la cuales se debe de cumplir con las políticas de consentimiento explícito. Es decir, no se podrían cargar esas cookies hasta que el usuario dé su consentimiento.
¿Sabías que el pixel de Facebook recopila datos personales como direcciones IP, información sobre el navegador web, ubicación de la página, documento, origen de referencia y persona que usa el sitio web? (Fuente: Facebook https://es-es.facebook.com/business/gdpr)
Tips importantes:
-
- Según la guía RGPD para responsables de tratamiento publicada por la Agencia Española de Protección de Datos «El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado (por ejemplo, cuando el interesado continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación)», con la salvedad que hace el INCIBE en su guía Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario, dónde se indica también que «Si se tratan datos especialmente protegidos o se van a utilizar para decisiones automatizadas o para transferencias internacionales, además de ser inequívoco ha de ser expreso, es decir, no podrá ser inferido.». Por tanto, ese consentimiento implícito o inferido, que puede deducirse de una acción del interesado, como seguir navegando en una web, no será válido para cookies que recaben datos especialmente protegidos, o que se utilicen para decisiones automatizadas o transferencias internacionales.
-
- No todas las cookies se pueden usar de acuerdo al nuevo RGPD. Las cookies de terceros que utilizamos en nuestra página pueden convertir a esos terceros en destinatarios de los datos personales, lo que podría limitar el uso de destinatarios ubicados fuera de la UE y no adheridos al Acuerdo de Puerto Seguro. Es posible que no puedas seguir utilizando todas las cookies que utilizabas antes de la aplicación del RGPD.
Los Formularios de Contacto:
Es clave adecuar los Formularios al derecho de información. El usuario antes de enviar sus datos debe aceptar explícitamente tu política de privacidad, así como cualquier uso comercial posterior que se vaya a hacer de sus datos. Todo ello visible y accesible desde el formulario, donde se tiene que mostrar toda la información relativa a la Protección de datos de una manera clara y siguiendo una estructura de 2 niveles o capas informativas.
¿Qué es esto de las 2 capas informativas?
En lo referente a los formularios, quiere decir que no es suficiente con incluir simplemente un enlace desde el mismo a tu Política de Privacidad – segunda capa informativa – que el usuario debe de aceptar de manera explícita, sino que hace falta mostrar más información. Además del enlace hacia la información adicional sobre tu Política de Privacidad, debes añadir un texto que explique de forma resumida, en el mismo momento y en el mismo medio de recogida (en este caso en el formulario), el tratamiento que se hará a los datos introducidos en dicho formulario.
En este texto resumen o primera capa informativa, debemos informar de la Identidad del Responsable de los datos, Finalidad, Legitimación, Destinatarios, Derechos e Información Adicional. La Agencia Española de Protección de Datos recomienda y pone como ejemplo, la presentación de estos datos de primera capa informativa como una tabla, incluyendo junto a la información básica facilitada, un hipervínculo que conduciría, en cada caso, al correspondiente epígrafe en la información adicional.
¿Y qué es el consentimiento explícito en Internet?
A diferencia de la anterior LOPD, ahora el consentimiento debe de ser inequívoco, es decir, mediante una clara acción afirmativa. Ya no se admiten formas de consentimiento tácito o por omisión, ni los checks de consentimiento ya marcados afirmativamente, ya que se basan en la inacción.
A este respecto, el nuevo Reglamento de Protección de Datos es muy claro, y en su punto 32 nos indica claramente lo que se considera una acción de consentimiento válida en Internet, y lo que no:
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.”
RESUMIENDO: Un Formulario que cumpla con la nueva RGPD debe incluir:
- Una primera capa informativa claramente identificada con un título tal como “Información básica sobre protección de datos”, informando de la Identidad del Responsable de los datos, Finalidad, Legitimación, Destinatarios, Derechos e Información Adicional.
- Un enlace hacia la política de privacidad (segunda capa informativa), que ha de completar con todos los detalles la información resumida, así como añadir la información adicional, requerida por el RGPD y que no estaba presente en la primera capa.
- Una casilla de aceptación (checkbox), que podrían ser varias en función del uso que se vayan a dar a los datos, y que generaría un registro del consentimiento.
· Referencia aepd: https://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf
¿Qué pasa con los datos de usuarios y las suscripciones (por ejemplo a una newsletter) realizadas antes de la nueva normativa?
En este punto igualmente el nuevo RGPD es claro y conciso: la aprobación obtenida bajo requisitos anteriormente permitidos, como el consentimiento tácito o la omisión, dejará de ser legítima, haciéndose obligado adaptarla a la nueva normativa.
¿Que quiere decir eso? Pues que si la manera de la que habíamos conseguido esos datos de usuarios no podría ser considerado válido según el nuevo RGPD, no podremos seguir haciendo uso de esa lista a partir del día 25 de Mayo de 2018. En la mayor parte los casos, esto implica volver a crear la lista de suscriptores desde cero.
¿Perderé entonces todos mis contactos? No necesariamente. Puedes, antes del día 25, pedir la renovación del consentimiento a esas listas de usuarios, solicitando a través de un formulario que confirmen sus datos y acepten explícitamente (marcando una o varias casillas) tu nueva política de privacidad, así como el uso que vas a hacer de sus datos, es decir, utilizando ya un formulario adecuado al derecho de información según el nuevo Reglamento.
Hasta aquí nuestra guía resumida. Esperamos que este documento te haya servido de ayuda. Para cualquier duda sobre la aplicación del RGPD en vuestra Web, puedes ponerte en contacto con nosotros a través del formulario en nuestra sección de contacto. Por supuesto, ya lo hemos adecuado al derecho de información 🙂
Importante: Los textos y recomendaciones contenidos en el presente artículo no son de carácter oficial y se ofrecen con una finalidad meramente informativa o divulgativa, sin que en ningún caso supongan ningún tipo de asesoramiento legal.
Fuentes y enlaces de interés (actualizado a 28 de Mayo de 2018):
- Reglamento General de Protección de datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016):
- Enlace EUR-Lex: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=EN
- Enlace publicación en el BOE: https://www.boe.es/doue/2016/119/L00001-00088.pdf
- Descarga directa PDF: Reglamento-General-Protección-Datos-REGLAMENTO-UE-2016-679-27Abril2016
- Adecuar los Formularios al derecho de información (Guía para el cumplimiento del deber de informar)
- Guía del RGPD para Responsables del tratamiento:
Compartir: